Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ガバナンスを支える新サービス / New Services to Support Govern...
Search
Shinya Ejima
December 18, 2024
Technology
3.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ガバナンスを支える新サービス / New Services to Support Governance
Shinya Ejima
December 18, 2024
Other Decks in Technology
See All in Technology
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
350
CVE-2026-20833_脆弱性対応とAES 化について
jukishiya
0
340
なぜ人は自分のプロジェクトを 「なんちゃってアジャイル」と 自嘲するのか
kozotaira
0
230
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
seafay
PRO
1
550
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
1
960
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
470
GitHub Copilot運用のリアル ~AI Credit時代にどう向き合うか~
takafumisu2uk1
0
600
どうして今サーバーサイドKotlinを選択したのか
nealle
0
180
AI時代における最適なQA組織の作り方
ymty
3
330
本当の”仕事”を手放せる未来が見えた
mu7889yoon
0
210
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
360
開発組織のAI活用レベルを可視化する「エンジニア版AI番付」の取り組み
fuzzy31u
0
100
Featured
See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
Ethics towards AI in product and experience design
skipperchong
2
320
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Product Roadmaps are Hard
iamctodd
PRO
55
12k
sira's awesome portfolio website redesign presentation
elsirapls
0
290
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.8k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.4k
Statistics for Hackers
jakevdp
799
230k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
190
Transcript
ガバナンスを支える新サービス 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 Copyright © ZOZO,
Inc. 1
© ZOZO, Inc. 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 担当業務
・ZOZOTOWNのフロント領域におけるSRE ・全社のAWS管理者(今日はこちらの目線で話します) 好きなAWSサービス ・AWS CloudFormation 2
© ZOZO, Inc. アジェンダ 1. Innovation talk(Security insights and innovation
from AWS) 2. Declarative policies(宣言型ポリシー) 3. AWS re:Invent 2024の感想 3
© ZOZO, Inc. Innovation talk ~ Security insights and innovation
from AWS ~ 4
© ZOZO, Inc. Innovation talkとは? • AWSのシニアリーダーが登壇するトーク型セッション • 各分野の重要課題に関してAWSにおける最新の取り組みを紹介 •
Breakout sessionやWorkshop等よりもやや抽象度が高めな内容である印象 • 今回は「Security, compliance & identity」の分野におけるInnovation talkを聴講 5
© ZOZO, Inc. どのような話があったか? • AWS CISOのChris Betz氏を中心に進行 • 大きく三点のトークテーマに沿った話
◦ セキュリティに関するオーナーシップの重要性 ◦ 最新サービス紹介 ◦ 量子コンピューティングや生成AIなど最新技術に対するセキュリティ • 各トークテーマではパートナーによる事例紹介もあった ◦ 事例紹介 ▪ Rodrigo Castillo氏(CTO, Commonwealth Bank of Australia) ▪ Jason Clinton氏(CISO, Anthropic) ◦ 最新サービス紹介 ▪ Becky Weiss氏(Vice President & Distinguished Engineer, AWS) 6
© ZOZO, Inc. 最新サービス紹介 システム規模がどれほど大きく、関係者がどれほどに多数になっても変わることなく、 アイデンティティ、リソース、ネットワーク等のアクセスを適切に管理し続けなればならない というメッセージ 出典:Security insights and
innovation from AWS (AWS re:Invent 2024) 7
© ZOZO, Inc. 最新サービス紹介 • Resource control policies • Centrally
manage AWS IAM root access • VPC Block Public Access • Declarative Policies ← 特に興味深かったこちらについて詳細を触れていきます • Amazon GuardDuty Extended Threat Detection • AWS Security Incident Response • Amazon OpenSearch Service Zero-ETL integration with Amazon Security Lake 【参考】 “Resource control policies”と”Declarative Policies”については以下のBreakout sessionで詳しいお話がありました →New governance capabilities for multi-account environments 8
© ZOZO, Inc. Declarative policies(宣言型ポリシー) 9
© ZOZO, Inc. AWS Organizations AWS Organizationsはガバナンスを実現するために不可欠なサービス ここに新しいポリシーが追加 出典:New governance
capabilities for multi-account environments (AWS re:Invent 2024) 10
© ZOZO, Inc. Declarative policies(宣言型ポリシー)とは? • AWSサービスの設定状態を定義するポリシー機能 • 宣言されたポリシーに反する設定は拒否される(強制される) •
メンバーアカウントから設定変更を行おうとした場合にはカスタムエラーメッセージを返せる • 現時点ではEC2の一部ユースケースのみが対象(サポート範囲は今後拡大予定) 11
© ZOZO, Inc. Before Policy After 適用イメージ(VPCブロックパブリックアクセスの適用) ingressをblock カスタムエラーメッセージ 12
© ZOZO, Inc. 何が嬉しいのか? 組織内の各リソースが期待した設定となるようにガードレールを作りたい場面を考える • 従来は基本的にSCP(Service Control Policy)で実現する必要があった ◦
禁止したい操作を1つ1つAPI単位で洗い出してSCPでDenyを設定 ◦ これによって意図しない設定とする操作が出来ない状況を作っていた • これって結構きつい ◦ APIは日々増えていくため意図通りになっているか継続的にメンテナンスが必要 ◦ 定義したSCPの意図を明確に表現しづらい ▪ Sidの記述だけで意図を理解するのは難しい ▪ コメントも記載出来ない • メンバーアカウント側でエラーに遭遇した場合におけるデバッグが困難 ◦ エラーメッセージからは意図が汲み取れないため これらの課題をまとめて解決してくれる素敵な機能!! 13
© ZOZO, Inc. いつ使うべきか? • ユースケースが組織の方針に沿っているならば積極的に導入すべき(簡単に設定出来る) • 現在はEC2の一部ユースケースのみが対象となっているが今後のサポート範囲拡大に期待 • 個人的にはAWS
Security Hubのコントロールに対応するポリシーが増えてくればコンプライアン ス遵守を効率よく進められそうな気がしている 14
© ZOZO, Inc. SCP / RCP / Declarative policiesの使い分け Declarative
policies→RCP→SCPの順に検討すれば良さそう Organizations外部からのアクセスを制限した場合はRCP、そうでない場合はSCP 出典:New governance capabilities for multi-account environments (AWS re:Invent 2024) 15
© ZOZO, Inc. おまけ:Innovation talkの最後に告げられた熱いメッセージ 出典:Security insights and innovation from
AWS (AWS re:Invent 2024) 16
© ZOZO, Inc. AWS re:Invent 2024の感想 17
© ZOZO, Inc. AWS re:Invent 2024の感想 • 以下に挙げるような学びや経験を得ることが出来た ◦ 最新技術のキャッチアップ
▪ 特に業務から離れて数日間集中出来ることは貴重だった ▪ 生成AIについてもっと学ぼうと思うきっかけになった ◦ 他参加者からの熱量吸収やネットワーキング ▪ 画面越しに配信動画を見たりするだけでは得られないものが現地にはある ◦ 英語に対する向上心 ▪ 長期間にわたる英語漬けの生活は人生初だったため課題感が明確になった ▪ 英語が使えるようになってより多くのチャンスを掴めるようになりたいと思えた • またチャンスがあればぜひ参加したい+もっと価値ある参加となるように今から準備していく 18
None